Sa Disyembre 13 2020, maraming mga vendor tulad ng FireEye at microsoft iniulat ang mga umuusbong na banta mula sa isang bansang aktor ng banta ng estado na nakompromiso ang SolarWinds, at pinarehong Trojan ang mga update sa software ng SolarWinds Orion upang maipamahagi ang backdoor malware na tinatawag na SUNBURST. Dahil sa katanyagan ng SolarWinds, ang mga pag-atake ay nakaapekto sa maraming mga ahensya ng gobyerno at maraming mga kumpanya ng Fortune 500. Lumitaw din ito sa nagdaang panahon Direktibong Direksyon ng CISA 20-01.
Sinuri namin ang naka-decode na mga domain ng DGA mula sa SUNBURST at natagpuan ang 165 natatanging mga domain na naapektuhan ng backdoor malware. Ang ilan sa kanila ay maaaring biktima, at ang ilan sa kanila ay maaaring nauugnay sa pagtuklas ng seguridad o pagsusuri tulad ng sandboxing. Natagpuan namin ang mga apektadong domain na sumasaklaw sa iba't ibang mga uri ng mga samahan (kabilang ang teknolohiyang impormasyon, pangangasiwa ng publiko, edukasyon, at pananalapi at seguro atbp.) At nabibilang sa 25 magkakaibang mga bansa (sumasaklaw sa lahat ng mga kontinente maliban sa Antarctica).
1.0 Panimula sa Kompromiso sa Chain Supply ng SolarWinds Orion
Tulad ng nabanggit sa ulat ng FireEye, ang SolarWinds ay maaaring inaatake ng isang bansang aktor ng banta ng estado. Ngunit alin ang mananatiling isang misteryo. Ang ilang mga artikulo sa balita haka-haka na nauugnay ito sa APT29 o Cozy Bear, isang pangkat ng hacker ng Russia, at ang detalyadong ebidensya ay hindi isiniwalat.
Ayon sa SaveBreach, Natuklasan ng Security Researcher na si Vinoth Kumar ang isang password na pagmamay-ari ng server ng pag-update ng SolarWinds ay na-leak sa Github mula pa noong 2018. Hindi malinaw kung ginamit ng mga umaatake ang mahinang password sa mga pag-atake, ngunit ipinapakita nito ang kahinaan ng postura ng seguridad ng SolarWinds.
Sa isang ulat na isinampa ng SolarWinds sa SEC, ang mga email ng SolarWinds sa pamamagitan ng Office 365 ay maaaring nakompromiso at "maaaring magbigay ng pag-access sa iba pang data na nilalaman sa mga tool sa pagiging produktibo ng tanggapan ng Kumpanya.".
Sinabi ng SolarWinds na maraming 18,000 ng mga customer na may mataas na profile na ito ay maaaring na-install ang isang maruming bersyon ng mga produktong Orion nito.
2.0 SUNBURST DGA algorithm at komunikasyon
Sa antas ng network, ang pinaka-halata na mga IOC na nauugnay sa SUNBURST ay ang mga domain na ginamit sa C2 (Command at Control) na channel. Ito ay may isang malakas na pattern at tinutularan ang mga pangalan ng cloud host, hal, 7sbvaemscs0mc925tb99.appsync-api.us-west-2.avsvmcloud.com, isang domain ng DGA (Domain Generation Algorithm).
Ang mga ulat ng FireEye at Microsoft ay kabilang sa mga unang nagbigay ng mga teknikal na detalye tungkol sa SUNBURST backdoor malware. Mula doon alam natin, ang mga umaatake ay nag-injected ng nakakahamak na pag-update SolarWinds-Core-v2019.4.5220-Hotfix5.msp. Sa loob ng pag-update, ang nakakahamak na sangkap ay SolarWinds.Orion.Core.BusinessLayer.dll.
Sa pamamagitan ng pag-aaral dito .NET DLL binary, iba't ibang mga pangkat ng pagsasaliksik (RedDrip at Prevasio) nagsiwalat ng ilang antas ng mga detalye tungkol sa kung paano naka-encode ang mga domain ng DGA. Ipinapakita ng pangkalahatang karunungan na ang mga domain ay sumusunod sa isang istraktura:
$ {GUID: 16byte} $ {Encoded_AD_domain} .appsync-api. $ {Rehiyon} .avsvmcloud.com
Ang $ {rehiyon} ay nasa isa sa apat na halaga:
- eu-kanluran-1
- amin-kanluran-2
- us-silangan-1
- us-silangan-2
Ang $ {GUID} Ang bahagi ay nagmula sa isang hash ng impormasyon sa antas ng host, kaya't hindi ito madaling baligtarin.
Ang $ {Naka-encode_AD_domain} karamihan ay kagiliw-giliw, ipinapakita ng katumbas na halaga ng plaintext kung aling domain ang pagmamay-ari ng makina sa pamamagitan ng .NET API na tawag:
IPGlobalProperties.GetIPGlobalProperties (). DomainName
Mahalaga na ibabalik ng API ang pangalan ng Windows Domain. Sa pamamagitan nito matutuklasan natin kung aling kumpanya ang pagmamay-ari ng makina.
2.1 Na-decode ang Mga AD Domain
Pinakikinabangan namin ang pagtuklas ng pananaliksik mula sa RedDrip at Prevasio, sa mga decoding algorithm upang maibalik ang $ {Naka-encode_AD_domain}. Karaniwan, gumagamit ang umaatake ng dalawang magkakaibang pag-andar sa pag-decode: ang isa ay isang pasadyang pagpapaandar ng BASE32_decode at ang isa pa ay mas na-customize na pagpapalit ng liham na cipher kapag ang pangalan ng domain ay may mas mababang mga kaso lamang plus [0_-.]
3.0 Pagsusuri sa Mga Nahawaang Domain
Ayon sa Balitang CRN, Sinabi ng SolarWinds na kasama sa mga kostumer nito ang 425 ng US Fortune 500, ang nangungunang sampung mga kumpanya ng telecommunication ng US, ang nangungunang limang mga firm accounting account ng US, lahat ng mga sangay ng Militar ng Estados Unidos, ang Pentagon, ang Kagawaran ng Estado, pati na rin ang daan-daang mga unibersidad at kolehiyo sa buong mundo
Upang pag-aralan ang mga nahawaang domain sa pag-atake ng SUNBURST Backdoor, nakolekta namin ang mga sinusunod na hostname para sa mga domain ng DGA mula sa maraming mga mapagkukunan. Ang isang pangunahing mapagkukunan ay nasa Github ibinigay ng Pagkonsulta sa Bambenek, at ang iba pang pangunahing mapagkukunan ay nasa I-paste ang basurahan mula sa Zetalytics / Zonecruncher.
Sa pamamagitan ng pagpapakain ng naka-encode na mga domain ng DGA sa script ng pag-decode, nakakuha kami ng isang listahan ng mga naka-decode na mga pangalan ng domain, na maaaring malikha ng mga biktima ng pag-atake sa likod ng bansa ng SUNBURST. Kasunod nito, gumawa kami ng pagtatangka upang manu-manong mapa ang mga naka-decode na mga pangalan ng domain sa mga pangalan ng kumpanya / organisasyon sa pamamagitan ng paghahanap sa Google. Nagawang mapa namin ang 165 na naka-decode na mga pangalan ng domain sa pangalan ng kumpanya / samahan.
DISCLAIMER: Hindi pa napatunayan na ang lahat ng na-decode na domain ay wastong mga domain ng Windows at sa katunayan ay kabilang sa mga biktima. Ito ay higit na nakabatay sa paghatol ng tao. Ang aming manu-manong form ng pagmamapa na na-decode ang mga pangalan ng domain sa kanilang mga pangalan ng kumpanya / samahan ay maaaring hindi tumpak.
3.1 Pamamahagi ng mga Biktima ayon sa Kategoryang Industriya
Napansin namin na ang mga biktima na kumpanya / samahan ay sumasaklaw sa iba't ibang uri ng industriya. Inuri namin sila sa iba't ibang kategorya batay sa NAICS (Sistema ng Pag-uuri ng industriya ng Hilagang Amerika) mula sa United States Census Bureau. Ang kanilang pamamahagi ayon sa kategorya ay ipinapakita sa Larawan 1. Mula sa mga halimbawang mayroon kami, mga kumpanya ng IT, Public Administration (hal, Pamahalaan) at Mga Serbisyo sa Edukasyon (hal, Mga Unibersidad) ang pinaka apektado ng pag-atake ng backyard sa SUNBURST.
Larawan 1: Pamamahagi ng mga Biktima ayon sa Kategoryang Industriya.
3.2 Pamamahagi ng mga Biktima ayon sa Bansa
Napansin namin na ang mga nabiktimang kumpanya / samahan ay kabilang sa 25 iba't ibang mga bansa. Ang kanilang pamamahagi ng kontinente ay ipinapakita sa Larawan 2. Ang epekto ng pag-atake ay sa buong mundo.
Larawan 2: Pamamahagi ng mga Biktima sa pamamagitan ng Kontinente.
Ang nangungunang mga bansa na may karamihan sa mga biktima ay:
| Pangalan ng bansa | Bilang ng Biktima |
| Estados Unidos | 110 |
| Canada | 13 |
| Israel | 5 |
| Denmark | 5 |
| Australia | 4 |
| Reyno Unido | 4 |
4.0 Depensa Laban sa SUNBURST gamit ang Stellar Cyber's Open XDR platform
Habang ang SUNBURST ay isang nakaw at sopistikadong banta, iniiwan nito ang mga mahalagang bakas upang makilala ang sarili nito.
Una, mahalaga para sa mga negosyo na mag-imbak ng mga artifact at bakas patungkol sa kanilang mga network sa isang seguridad lawa ng data tulad ng Open XDR plataporma mula sa Stellar Cyber. Kapag alam na ang pag-atake, sa buong mundo, mabilis na masusuri ng mga negosyo ang mga tagapagpahiwatig laban sa makasaysayang datos upang ipakita kung na-crack ang mga ito. Para sa mga sopistikadong banta tulad ng SUNBURST, ang mga C2 (Command & Control) Domain at mga IP address ay karaniwang malalakas na senyales. Para sa SUNBURST sa partikular, ang C2 domain ay may pattern na avsvmcloud.com. Kailangang mag-deploy ang mga negosyo ng isang mahusay na solusyon sa NTA (NDR) na may kakayahang mag-log ng mahalagang metadata mula sa trapiko ng DNS at iba pang mahahalagang mga protocol ng aplikasyon ng L7. Nakatutulong din ang pag-ingest ng data sa pamamagitan ng mga DNS log, ngunit maaaring hindi nito makuha ang mga signal kung gumagamit ang umaatake sa pampublikong DNS tulad ng Google DNS (8.8.8.8) atbp. Bukod dito, kasama ang mga advanced na detection ng DGA at iba pang mga antas ng pagkakita ng anomalya sa antas ng network mula sa Stellar Cyber, ang ang mga negosyo ay maaaring makahanap ng hindi kilalang mga kahina-hinalang signal nang mas maaga.
Pangalawa, ang mga telemetric ng endpoint ng EDR ay napakahalaga at kapaki-pakinabang din, kasama ang mga signal sa antas ng network, kasama ang Open XDR Sa pamamagitan ng platform mula sa Stellar Cyber, maaaring matukoy ng mga negosyo ang kahina-hinalang paggalaw sa loob ng kumpanya at matukoy ang malware na parang SUNBURST sa pamamagitan ng Threat Intelligence o mga hindi kilalang kahina-hinalang aktibidad. Ang platform ng Stellar Cyber ay maaaring mag-imbak at mag-ugnay ng mga signal mula sa maraming pinagmumulan ng data at may mga detection batay sa ML upang matukoy ang mga hindi kilalang kahina-hinalang aktibidad.
Mga Konklusyon ng 5.0
Sa blog na ito, nagbahagi kami ng ilang mga pahiwatig sa kung paano na-hack ang SolarWinds, at pinag-aralan ang data ng domain ng DGA, ipinakita ang pag-aaral ng data sa mga apektadong domain, pati na rin nagbigay ng ilang mga mungkahi sa pagtatanggol.
